

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Habilitar la protección de S3 en entornos de varias cuentas
<a name="s3-multiaccount"></a>

En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador delegado tiene la opción de configurar (activar o desactivar) S3 Protection para las cuentas de los miembros de su AWS organización. Las cuentas de GuardDuty los miembros no pueden modificar esta configuración desde sus cuentas. La cuenta de GuardDuty administrador delegado administra sus cuentas de miembros mediante AWS Organizations. La cuenta de GuardDuty administrador delegado puede elegir que S3 Protection se active automáticamente en todas las cuentas, solo en las cuentas nuevas o en ninguna cuenta de la organización. Para obtener más información, consulte [Administración de cuentas con AWS Organizations](guardduty_organizations.md).

## Habilitar S3 Protection para la cuenta de administrador delegado GuardDuty
<a name="configure-s3-pro-delegatedadmin"></a>

Elija el método de acceso que prefiera para habilitar S3 Protection en la cuenta de GuardDuty administrador delegado.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. En el panel de navegación, elija **S3 Protection**.

1. En la página **Protección de S3**, seleccione **Editar**.

1. Realice una de las siguientes acciones:

**Uso de **Habilitar para todas las cuentas****
   + Elija **Habilitar para todas las cuentas**. Esto habilitará el plan de protección para todas las GuardDuty cuentas activas de su AWS organización, incluidas las nuevas cuentas que se unan a la organización.
   + Seleccione **Save**.

**Uso de **Configurar cuentas manualmente****
   + Para habilitar el plan de protección solo para la cuenta de GuardDuty administrador delegado, elija **Configurar las cuentas manualmente**.
   + Seleccione **Activar** en la sección de la **cuenta de GuardDuty administrador delegado (esta cuenta).**
   + Seleccione **Save**.

------
#### [ API/CLI ]

[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)Para ello, utilice el identificador de detector de la cuenta de GuardDuty administrador delegado para la región actual y pase el `features` objeto `name` tal `S3_DATA_EVENTS` y `status` como. `ENABLED`

Como alternativa, puede configurar S3 Protection mediante AWS Command Line Interface. Ejecute el siguiente comando y asegúrese de {{12abc34d567e8fa901bc2d34e56789f0}} reemplazarlo por el ID de detector de la cuenta de GuardDuty administrador delegado para la región actual.

Para encontrar el correspondiente `detectorId` a tu cuenta y a tu región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty update-detector --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --features '[{"Name": "S3_DATA_EVENTS", "Status": "ENABLED"}]'
```

------

## Auto-enable Protección S3 para todas las cuentas de los miembros de la organización
<a name="s3-autoenable"></a>

Elija el método de acceso que prefiera para habilitar S3 Protection para la cuenta de GuardDuty administrador delegado.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Inicie sesión con la cuenta de administrador.

1. Realice una de las siguientes acciones:

**Uso de la página **Protección de S3****

   1. En el panel de navegación, elija **Protección de S3**.

   1. Elija **Habilitar para todas las cuentas**. Esta acción habilita automáticamente la protección de S3 para las cuentas nuevas y existentes de la organización.

   1. Seleccione **Save**.
**nota**  
La actualización de la configuración de las cuentas de miembros puede tardar hasta 24 horas en efectuarse.

**Uso de la página **Cuentas****

   1. En el panel de navegación, elija **Cuentas**.

   1. En la página **Cuentas**, selecciona **Auto-enable**tus preferencias antes de **Añadir cuentas por invitación**.

   1. En la ventana **Administrar preferencias de habilitación automática**, seleccione **Habilitar para todas las cuentas** en **Protección de S3**.

   1. Seleccione **Save**.

   Si no puede utilizar la opción **Habilitar para todas las cuentas**, consulte [Habilitar de forma selectiva la S3 Protection en las cuentas de miembro](#s3-enable-members).

------
#### [ API/CLI ]
+ Para habilitar S3 Protection de forma selectiva para sus cuentas de miembros, invoque la operación de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la suya propia. {{detector ID}} 
+ En el siguiente ejemplo se muestra cómo se puede habilitar la S3 Protection para una sola cuenta de miembro. Asegúrese de sustituirla por {{12abc34d567e8fa901bc2d34e56789f0}} la `detector-id` de la cuenta de GuardDuty administrador delegado y. {{111122223333}}

  Para encontrar la `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --features '[{"name": "S3_DATA_EVENTS", "status": "{{ENABLED}}"}]'
  ```
**nota**  
También puede pasar una lista de ID de cuentas separadas por un espacio.
+ Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

------

## Habilitación de la S3 Protection para todas las cuentas de miembros activas existentes
<a name="enable-for-all-existing-members"></a>

Elija su método de acceso preferido para habilitar la S3 Protection en todas las cuentas de miembros activas existentes de la organización.

------
#### [ Console ]

1. Inicia sesión en Consola de administración de AWS y abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Inicie sesión con las credenciales de la cuenta GuardDuty de administrador delegado.

1. En el panel de navegación, elija **S3 Protection**.

1. En la página **S3 Protection**, puede ver el estado actual de la configuración. En la sección **Cuentas de miembros activas**, seleccione **Acciones**.

1. En el menú desplegable **Acciones**, seleccione **Habilitar para todas las cuentas de miembros activas existentes**.

1. Elija **Confirmar**.

------
#### [ API/CLI ]
+ Para habilitar S3 Protection de forma selectiva para sus cuentas de miembros, invoque la operación de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API con la suya propia. {{detector ID}} 
+ En el siguiente ejemplo se muestra cómo se puede habilitar la S3 Protection para una sola cuenta de miembro. Asegúrese de sustituirla por {{12abc34d567e8fa901bc2d34e56789f0}} la `detector-id` de la cuenta de GuardDuty administrador delegado y. {{111122223333}}

  Para encontrar la `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{111122223333}} --features '[{"name": "S3_DATA_EVENTS", "status": "{{ENABLED}}"}]'
  ```
**nota**  
También puede pasar una lista de ID de cuentas separadas por un espacio.
+ Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

------

## Auto-enable Protección S3 para cuentas de nuevos miembros
<a name="auto-enable-s3-pro-new-members"></a>

Elija su método de acceso preferido para habilitar la S3 Protection para las cuentas nuevas que se unan a la organización.

------
#### [ Console ]

La cuenta de GuardDuty administrador delegado puede habilitar nuevas cuentas de miembros en una organización a través de la consola, desde la página de **Protección de S3 o desde** la página de **Cuentas**.

**Habilitación automática de la S3 Protection para las cuentas de nuevos miembros**

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

   Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

1. Realice una de las siguientes acciones:
   + Uso de la página **S3 Protection**:

     1. En el panel de navegación, elija **S3 Protection**.

     1. En la página **S3 Protection**, seleccione **Editar**.

     1. Elija **Configurar cuentas manualmente**.

     1. Elija **Habilitar automáticamente las cuentas de miembros nuevas**. Este paso garantiza que cada vez que una nueva cuenta se una a su organización, la S3 Protection se habilitará automáticamente para la cuenta. Solo la cuenta de GuardDuty administrador delegado de la organización puede modificar esta configuración.

     1. Seleccione **Save**.
   + Mediante la página **Cuentas**:

     1. En el panel de navegación, elija **Cuentas**.

     1. En la página **Cuentas**, seleccione **Auto-enable**las preferencias.

     1. En la ventana **Administrar preferencias de habilitación automática**, seleccione **Habilitar para las nuevas cuentas** en **S3 Protection**.

     1. Seleccione **Save**.

------
#### [ API/CLI ]
+ Para habilitar S3 Protection de forma selectiva para sus cuentas de miembros, invoque la operación de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API con la suya propia. {{detector ID}} 
+ En el siguiente ejemplo se muestra cómo se puede habilitar la S3 Protection para una sola cuenta de miembro. Establezca las preferencias para habilitar o deshabilitar automáticamente el plan de protección en esa región para las nuevas cuentas (`NEW`) que se unan a la organización, todas las cuentas (`ALL`) o ninguna de las cuentas (`NONE`) de la organización. Para obtener más información, consulte [auto EnableOrganizationMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers). Según sus preferencias, es posible que deba sustituir `NEW` por `ALL` o `NONE`.

  Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty update-organization-configuration --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "{{NEW}}"}]'
  ```
+ Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

------

## Habilitar de forma selectiva la S3 Protection en las cuentas de miembro
<a name="s3-enable-members"></a>

Elija el método de acceso que prefiera para habilitar o desactivar de forma selectiva la S3 Protection en las cuentas de miembro.

------
#### [ Console ]

1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).

   Asegúrese de utilizar las credenciales de la cuenta de GuardDuty administrador delegado.

1. En el panel de navegación, elija **Cuentas**.

   En la página **Cuentas**, revise la columna **S3 Protection** para ver el estado de su cuenta de miembro. 

1. 

**Para habilitar de forma selectiva la S3 Protection**

   Seleccione la cuenta para la que desee habilitar la S3 Protection. Puede seleccionar varias cuentas de manera simultánea. En el menú desplegable **Editar planes de protección**, seleccione **S3Pro** y, a continuación, elija la opción adecuada.

------
#### [ API/CLI ]

Para habilitar la S3 Protection de forma selectiva para las cuentas de miembro, ejecute la operación de la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetector.html) con el ID de detector propio. En el siguiente ejemplo se muestra cómo se puede habilitar la S3 Protection para una sola cuenta de miembro. Para desactivarlo, sustituya `true` por `false`. 

Para encontrar las `detectorId` de tu cuenta y región actuales, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
 aws guardduty update-member-detectors --detector-id {{12abc34d567e8fa901bc2d34e56789f0}} --account-ids {{123456789012}} --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
```

**nota**  
También puede pasar una lista de ID de cuentas separadas por un espacio.

Cuando el código se haya ejecutado correctamente, devolverá una lista de `UnprocessedAccounts` vacía. Si se ha producido algún problema al cambiar la configuración del detector de una cuenta, se muestra el ID de la cuenta junto con un resumen del problema.

**nota**  
Si utiliza scripts para incorporar nuevas cuentas y desea deshabilitar la S3 Protection en sus nuevas cuentas, puede modificar la operación de la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html) con el objeto `dataSources` opcional, tal y como se describe en este tema.

------